[VIRUS] «Oye voy a poner esa foto de nosotros en mi myspace» o similar

Bienvenido al blog de Iñigo Del Hoyo

[VIRUS] «Oye voy a poner esa foto de nosotros en mi myspace» o similar

En las últimas horas una nueva variante de Win32/SdBot (NOD32) o W32.SillyIM (Symantec) ha estado propagándose muy rápidamente vía MSN Messenger. El mismo envía mensajes en español, inglés y portugués (según versiones), los siguientes son algunos de los textos transmitidos a los contactos del usuario infectado:

oye voy a poner esa foto de nosotros en mi myspace
jaja debes poner esa foto como foto principal en tu myspace o algo
jaja recuerda cuando tuviste el pelo asi
hola esas son las fotos
oye voy a agregar esa foto a mi blog ya

hey i’m going to add this picture of us to my weblog
Here are my private pictures for you

Variante de SdBot propagandose por MSN Messenger

, al mismo tiempo intenta enviar un archivo comprimido en ZIP con alguno de los siguientes nombres:

IMG-0012.zip
Z058_jpg.zip
F0538_jpg.zip
p0017_jpg.zip
IMG0024.zip

, el cual contiene un ejecutable cuya extensión COM intenta ser disimulada colocando una URL en su nombre:

img0012-www.photostorage.com
www.p0017_jpg-msn.com

Variante de SdBot propagandose por MSN Messenger

Cuando se ejecuta, se copia a sí mismo en el directorio:

c:\windows\system\lsass.exe (Tiene un tamaño aproximado de 25kb)

, copia el archivo ZIP dentro de:

c:\windows\IMG-0012.zip

y crea la siguiente entrada en el resgistro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”

NOTA: Algunos nombres de archivos y rutas pueden variar según la variante del virus, actualmente las detallas anteriormente son las que se he encontrado durante las pruebas realizadas.

Reparación manual

1 – Actualice su antivirus.

2 – Reinicie Windows en “Modo a prueba de fallos”

Si no sabe como hacerlo, puede leer esta pequeña guia de VSAntivirus:
http://www.vsantivirus.com/faq-modo-fallo.htm

3 – Elimine lo siguientes archivos:

c:\windows\system\lsass.exe (puede estar oculto)
c:\windows\IMG-0012.zip

4 – Elimine la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”

5 – Ejecute su antivirus y analice su equipo en busca de malware.

6 – Reinicie su equipo.

7 – Vuelva a analizar su sistema con su antivirus.

También es recomendable que descargue y ejecute MSNCleaner con Windows en Modo a prueba de fallos, el mismo detecta y elimina este y otros virus/troyanos de común propagación por la red de MSN Messenger.

Enlaces relacionados

Cuidado, imágenes en el MSN
http://blogs.eset-la.com/laboratorio/2007/09/11/cuidado-imagenes-msn

MSNCleaner v1.3.2 (Actualizado el 11 de Septiembre del 2007)
http://www.forospyware.com/Msncleaner/

W32.SillyIM
http://www.symantec.com/security_response/writeup.jsp?docid=2007-011714-4600-99&tabid=2

Info sacada de diferentes paginas webs y blogs

Tags:

2 comentarios

  1. Pili dice:

    oye voy a agregar esa foto a mi blog ya

  2. Hola Pili, no entiendo muy bien la entrada.
    Eso es lo que sule poner cuando te entra el virus por el messenger.
    Pero no aceptes!!!

Los comentarios están cerrados.